一個訪問控制實體（ACE）是ACL中的一個元素。一個ACL可能包含0到多個ACE。每個ACE通過一個指定的托管來控制或監視一個對象。更多關于添加、刪除、改變ACE，見修改ACL對象。

Window Me/98/95：不支持訪問控制

有6種類型的ACE，三種被所有的安全對象支持，其他類型是對象特定的ACE，由目錄服務對象支持。

所有ACE類型都包含下面訪問控制信息：

1．? 一個安全標示符號（SID）來標示ACE應用的托管

2．? 一個訪問掩碼指定ACE控制的訪問權限

3．? 一個指示ACE類型的標志位

4．? 一系列位標志決定是否子容器或對象可以繼承ACE從基本對象到ACL附著的對象。

下表列出了三個所有安全對象支持的ACE類型：

對于對象指定的ACE，參見對象指定ACE。

一個托管是一個用戶帳戶、組帳戶或登錄會話到一個ACE應用。每個ACL中的ACE都有一個SID來標示托管。用戶帳戶包含人使用的帳戶或程序帳戶（例如，Window服務用來登錄到本地計算機的）。組帳戶不能用來登錄到計算機，但在ACE中非常有用，用來拒絕或允許一到多個用戶帳戶的訪問權限。一個登錄SID表示當前的登錄會話用來允許和拒絕訪問權限，直到用戶登出。

NT4.0和后來版本中訪問控制函數使用TRUSTEE結構體來表示一個托管。這個結構體能使你用一個字符串或一個SID來表示一個托管。如果你使用一個名字，從TRUSTEE結構創建ACE的函數執行SID緩沖區分配工作并且查詢SID對應的帳戶名稱。有兩個助手函數，BuildTrusteeWithSid和BuildTrusteeWithName，可以用SID或名字來初始化一個TRUSTEE結構。BuildTrusteeWithObjectsAndSid和BuildTrusteeWithObjectsAndName允許你使用一個對象指定的ACE信息來初始化一個TRUSTEE結構體。其他3個助手函數，GetTrusteeFrorm、GetTrusteeName和GetTrusteeType，返回TRUSTEE結構各成員的值。
Window XP/2000：TRUSTEE的ptstrName成員可以是一個指向OBJECTS_AND_NAME或OBJECTS_AND_SID結構體的指針。這些結構體說明對象指定ACE的信息，除了托管的名字和SID之外。這可以象SetEntriesInAcl和GetExplicitEntriesFromAcl這樣的函數存儲對象指定ACE的信息到EXPLICIT_ACCESS結構體的Trustee成員中。

TRUSTEE結構體：

typedef struct _TRUSTEE {
? PTRUSTEE pMultipleTrustee;
? MULTIPLE_TRUSTEE_OPERATION MultipleTrusteeOperation;
? TRUSTEE_FORM TrusteeForm;
? TRUSTEE_TYPE TrusteeType;
? LPTSTR ptstrName;

安全對象使用Windows 訪問掩碼格式，四個高位說明通用訪問權限。每個安全對象類型映射到這些位到一系列標準和對象特殊訪問權限。例如：一個Window文件對象映射GENERIC_READ位到READ_CONTROL和SYNCHRONIZE 標準訪問權限和FILE_READ_DATA、FILE_READ_EA和FILE_READ_ATTRIBUTES對象指定訪問權限。其他類型對象映射GENERIC_READ位到與類型對象適應的一些訪問權限。

你可以在你打開一個對象句柄的時候使用通用訪問權限來指定需要的訪問類型；這通常比指定所有對應標準和特指權限要簡單。

下表顯示了通用訪問權限定義的常量。

安全描述符包含了安全對象相關的安全信息。安全描述父由一個SECURITY_DESCRIPTOR結構體組成，它關聯到一個安全對象。一個安全描述符包含下面的安全信息：

1．? 擁有者或基本組對象的安全ID（SIDs）

2．? DACL指定特殊用戶或組的允許或拒絕的訪問權限

3．? SACL指定對象通用評估記錄嘗試的訪問類型

4．? 一個控制位集合，說明安全描述符的含義或它每個成員

程序不需要直接操作安全描述符的內容。Windows API提供設置和返回安全描述符號的函數。另外，有用來創建和初始化一個新對象安全描述符號的函數。

?

Windows NT 3.51和更早的版本，Windows ME/98/95：參見：低級訪問控制。

?

一個安全對象有一個安全描述符。所有有名字的 Windows 對象都是安全的。有些沒有名字的對象，例如：進程和線程對象也有安全描述符。對于大多數安全對象來說，你可以在創建對象的時候指定一個對象的安全描述符。例如：你能在 CreateFile 和 CreateProcess 函數中指定安全描述符。

另外， Windows 安全函數是你能夠為操作系統創建的而不是 Windows 創建的安全對象得到和設置安全信息。 Windows 安全函數也提供支持私有使用安全描述符和程序定義對象。更多關于私有安全對象信息參見客戶服務器訪問控制。

?

每個安全對象定義它自己的一系列訪問權限，并且它擁有的映射通用訪問權限。更多關于指定和通用訪問權限的信息，參見對象類型總覽。

下表顯示了函數來操作通用安全對象的安全信息：

?

登錄會話

一個登錄繪畫從用戶登錄到計算機時候開始。所有登錄會話中的進程有相同的基本訪問標記。訪問標記包含登錄會話相關的安全上下文，包含用戶的 SID 和登錄標示以及登錄 SID 。

?

登錄 SID

?

一個安全標示符（ SID ）用來表示登錄會話。你可以使用 DACL 中的登錄 SID 來在登錄會話過程中控制訪問。登錄 SID 只有在用戶登出的時候無效。登錄 SID 是計算機運行的時候唯一的。沒有其他會話有系統的 SID 。然而，可能的登錄 SID 集合在計算機啟動的時候被復位。為了從訪問標記中返回登錄 SID ，為 TokenGroups 調用 GetTokenInformation 函數。

?

訪問標記

?

一個訪問標記包含登錄會話的安全信息。系統在用戶登錄的時候創建一個安全標記，每個進程執行用戶由于的標記副本。標記表示用戶、用戶組和用戶權限。系統使用標記來控制訪問安全對象和控制用戶在本地計算機上執行各種系統相關操作。兩種訪問標記：私有的和偽裝的。

?

偽裝標記：

?

一個被創建來捕獲客戶進程安全信息、允許服務器在安全操作中偽裝客戶進程的訪問標記。

?

主標記：

一個 Windows 內核創建的標記。可能分配給一個進程來表示默認的進程安全信息。